PFX fájl létrehozása

A PFX végződésű fájl egy PKCS#12 formátumban elmentett tanúsítványt jelöl; ez tartalmazza a tanúsítványt, a hitelesítési hatóság intermediate tanúsítványát, amely szükséges a tanúsítvány megbízhatóságának igazolásához, és a tanúsítványhoz tartozó privát kulcsot. Elképzelheti ezt mint egy archívumot, amelyben minden el van mentve, ami a tanúsítvány telepítéséhez szükséges.

AZ SSLMARKET NEM TESZI LEHETŐVÉ A PRIVÁT KULCS LETÖLTÉSÉT AZ ADMINISZTRÁCIÓBÓL, ugyanis ehhez el kellene mentenünk az Ön privát kulcsát a rendszerünkben. Ezt viszont sosem fogjuk csinálni, mivel így az kompromittálódna.

A privát kulcsot létrehozhatja nálunk a CSR-rel (tanúsítvány kérelem) együtt, de elmenteni (a tanúsítvány későbbi telepítéséhez) már Önnek kell a kulcsot.

Mikor van szüksége PFX létrehozására? Ha fenn áll valamelyik az alábbi helyzetek közül:

Windows Serverre (IIS) fog tanúsítványt telepíteni, de a tanúsítvány-aláírási kérelem (CSR) nem volt beadva az IIS-ben
A tanúsítványt Windows Server számára szeretné kiállíttatni, de nem rendelkezik IIS-szel a tanúsítvány-aláírási kérelem (CSR) beadására.
A tanúsítvány-aláírási kérelmet (CSR) az SSLmarketben adta be, és elmentette a privát kulcsot. Most pedig tanúsítványát Windows Serverre szeretné telepíteni.

Ezen (és egyéb) helyzetekhez szolgálunk útmutatóval.

PFX létrehozása OpenSSL segítségével

Az OpenSSL egy (program) könyvtár, amely megtalálható minden unix-os operációs rendszerben. Ha rendelkezik linux szerverrel, vagy Linux-on futó gépen dolgozik, akkor biztosan megtalálja az OpenSSL-t az elérhető programok között.

Az OpenSSL-ben szükség van az egyedülállóan létrehozott kulcsokat egy PFX (PKCS#12) fájlba egyesíteni. Ezt megkapja az alábbi paranccsal: openssl pkcs12 -export -in linux_cert+ca.pem -inkey priv.key -out output.pfx

A tanúsítványt levédő jelszó megadása után, a (használatban levő) mappában létrejön az adott output.pfx fájl(a fájl nevét a fenti parancsban adhatja meg).

PFX létrehozása Windowson (Windows szerveren)

PFX létrehozása létező tanúsítványból

A Windows operációs rendszerből lehetséges a már létező tanúsítványt PFX fájlként kiexportálni a tanúsítványok tárhelyéből az MMC konzol segítségével. Ezt a folyamatot választhatja a Windows serveren is, ha az IIS a tanúsítványokat a tanúsítványok tárhelyére menti.

Az IIS-es webes szerver lehetővé teszi a létező tanúsítvány exportálását a PFX fájlba egyenesen a tanúsítványok áttekintéséből a szerveren. A privát kulcs és a CSR létrejön a tanúsítvány-aláírási kérelem beadása során az IIS-ben, és kiállítás után a tanúsítvány visszaimportálódik (mindkét lépést megtekintheti a videósúgóban).

Az export nagyon egyszerű – jobb klikkel kattintson az adott tanúsítványra és válassza ki az Export lehetőséget. A PFX fájlt védő jelszó megadása után a fájl a lemezre mentődik.

Új tanúsítvány importálása és PFX létrehozása

Ez a folyamat, sajnos, nem lehetséges. A Windows-os tanúsítványok tárhelye nem engedélyezi a privát kulcs importját fájlból, ezért az MMC konzolban nem tudja egyesíteni a kulcsokat egy PFX-be mint az OpenSSL-ben. Az IIS webes szerverre csak a PFX-t tudja importálni, tehát itt is az érvényes, ami az előző esetben.

Ha szüksége van Windows Serverre importálni egy új tanúsítványt és a szerveren nincs privát kulcs (tehát nem adott be tanúsítvány-aláírási kérelmet (CSR) a szerveren), kövesse az alábbi lépéseket:

PFX létrehozása máshol (OpenSSL vagy egyéb) és ezt követően a tanúsítvány importálása PFX fájlként
Új CSR kérelem beadása a szerveren és a tanúsítvány ún. reissue-jának elvégzése

A reissue azt jelenti, hogy a tanúsítvány ingyen újra ki lesz állítva és importálhatja azt a meglévő privát kulcshoz. Ezt egyedül is elvégezheti az ügyfélfiók adminisztrációban.

PFX kiállítása harmadik fél alkalmazásának segítségével

A PFX fájlt létrehozhatja az egyedülálló kulcsokból egy grafikai programban és megkerülheti ezzel az OpenSSL használatát a parancssorban.

A legjobb program, amely ezt a célt szolgálja, a XCA opensource applikáció. Ebben a hasznos programban egyszerre kezelheti az összes tanúsítványát és kulcsát. A program nagy előnye a megfelelő kulcsok automatikus egymáshoz rendelése; nincs szükség tehát tovább keresnie, melyik kulcs tartozik melyik tanúsítványhoz. A kulcsok importálása egyszerű, az exportot pedig elvégezheti minden ismert formátumba.

XCA program a titkosított kulcsok kezeléséhez

A PFX fájl (nem) biztonsága

A PFX fájl mindig jelszóval védett, ugyanis tartalmazza a privát kulcsot. PFX létrehozása során mindig gondosan válassza meg a jelszót, mert a tanúsítvánnyal való visszaéléssel szemben is megvédheti Önt. A támadót biztosan megörvendeztetné, ha az eltulajdonított PFX az "12345" jelszóval lenne kódolva – ugyanis annál gyorsabban tudná felhasználni az Ön tanúsítványát.

A kódaláíró tanúsítvány fájlban való tárolásának veszélye volt a fő oka annak, hogy az összes ilyen tanúsítványt tokenre cserélték. Mind az OV, mind az EV kódaláíró tanúsítványt tokenen kell tárolni, melynél még lopás esetén is lehetetlen a visszaélés; többszöri helytelen jelszó megadás után a token zárolásra kerül.

Szükség esetén lépjen kapcsolatba ügyfélszolgálatunkkal, amely a tanúsítvány kiválasztásával és bármilyen kérdéssel kapcsolatban is a segítségére áll.

Hasznos volt Önnek ez a cikk?

Súgó